Em tempos de aumento do home office a VPN tem salvado muitas empresas. Porém, somente a VPN não é suficiente para que as empresas se mantenham seguras. Isso nos leva ao conceito de Zero Trust. Em uma tradução literal esse termo quer dizer “zero confiança”. Termo esse que já existe há mais de 10 anos, porém recentemente ganhou maior relevância.
Afinal, o que é Zero Trust?
É importante deixar claro que não se trata de um produto e sim de uma soma de controles administrativos, lógicos e técnicos.
As soluções de segurança são baseadas na ideia de perímetro, com camadas de proteção. Essas camadas incluem ferramentas como firewall, detecção de intrusos, proxy, entre outras. Com isso conseguimos segmentar nosso perímetro em zonas de confiança. Podemos classificar essas zonas em rede interna, internet e DMZ.
A rede interna abrange os equipamentos que estão sob o controle da organização, a internet é todo o conjunto de acessos depois da borda da empresa e DMZ (zona desmilitarizada) é um recurso que permite que um dispositivo da rede seja exposto à internet. Voltando à ideia de perímetro, habitualmente a rede interna é considerada confiável, a internet não é confiável e a DMZ é parcialmente confiável. Sendo assim, quando existe uma transferência entre as zonas de confiança, podemos aplicar os controles. Por exemplo, tudo que vem da internet tem que ser verificado com regras rígidas. Já o tráfego entre equipamentos da rede interna não costuma ser verificado de forma tão criteriosa.
Esse modelo cria um problema de segurança. É muito trabalhoso para uma pessoa mal-intencionada partir da internet, invadir a DMZ e daí entrar na rede interna da empresa. Por outro lado, um e-mail contendo um simples ataque de phishing pode acabar chegando ao usuário – basta um clique no link malicioso para comprometer o ambiente. Isso acontece porque as verificações dentro de uma mesma zona são menos rígidas. Cerca de 70% dos ataques têm origem interna.
Nesse contexto o Zero Trust surge para resolver esse problema. Os princípios aplicados no Zero Trust são:
– A rede não é confiável;
– Seja interna ou externamente, constantemente existem ameaças na rede;
– Não se pode definir confiança com base na localização da rede;
– Deve-se autenticar todos os usuários, dispositivos e comunicação da rede;
– Políticas de segurança são dinâmicas e atualizadas de acordo com o contexto (por exemplo, remoção completa e imediata de acesso ao usuário em caso de distrato de um colaborador).
Esse conjunto de itens não é implementado com uma única solução, inclui várias ferramentas e controles para se tornar efetivo.
Fazendo um contraponto com a tradicional solução de VPN, nela é feita uma autenticação do usuário e depois de fechada a comunicação do túnel o fluxo de rede não é autenticado. A VPN tem um tempo de vida e durante esse tempo não é exigida uma nova autenticação do usuário. Voltando ao exemplo do distrato de um colaborador, o túnel permaneceria conectado mesmo que o usuário estivesse desativado no AD da empresa. Outro exemplo, a máquina do colaborador pega um vírus – o túnel VPN permanece conectado, pois não existe uma validação do fluxo de rede e análise de contexto durante a comunicação.
Já no Zero Trust, cada requisição é avaliada e a todo momento é feita a validação do fluxo e contexto, tanto do usuário quanto do dispositivo.
Na prática, para aplicar o Zero Trust uma organização precisa de vários itens, dentre os quais podemos destacar:
– Control Plane – é ele que vai controlar todas as comunicações e fazer as validações de usuários e dispositivos;
– Vários fatores de autenticação de usuários (somente a senha não é suficiente);
– Autenticação de dispositivos, incluindo o contexto, como sistema operacional, origem do ip, data e hora da conexão;
– Validação de todos os fluxos de rede;
– Criptografia dos dados;
– Log das transações e eventos;
– Autenticação mútua (MTLS – as duas partes envolvidas se autenticam).
Com isso é possível construir o framework que vai hospedar o Zero Trust e hoje a nuvem é a plataforma que permite implementar esses itens de forma efetiva e com um custo aceitável.
O desafio é grande, mas o aumento da segurança é significativo. A tendência é que cada vez mais o termo Zero Trust seja usado nas conversas sobre segurança da informação.
